Vrije Universiteit Amsterdam және ETH Zurich зерттеушілері желілік шабуыл әдісін әзірледі. (Network Cache ATtack), ол үшінші тарап арналары арқылы деректерді талдау әдістерін пайдалана отырып, SSH сеансында жұмыс істеу кезінде пайдаланушы басқан пернелерді қашықтан анықтауға мүмкіндік береді. Мәселе тек технологияларды пайдаланатын серверлерде пайда болады (Жадқа қашықтан тікелей кіру) және (Data-Direct I/O).
Intel , шабуылды іс жүзінде жүзеге асыру қиын, өйткені ол шабуылдаушының жергілікті желіге қол жеткізуін, стерильді жағдайларды және әдетте оқшауланған желілерде қолданылатын RDMA және DDIO технологияларын пайдалана отырып, хост байланысын ұйымдастыруды талап етеді, мысалы, қандай есептеуіштер кластерлер жұмыс істейді. Мәселе кіші деп бағаланады (CVSS 2.6, ) және қауіпсіздік периметрі қамтамасыз етілмеген және сенімсіз клиенттерді қосуға рұқсат етілген жергілікті желілерде DDIO және RDMA қосылмау туралы ұсыныс беріледі. DDIO Intel серверлік процессорларында 2012 жылдан бері қолданылады (Intel Xeon E5, E7 және SP). AMD және басқа өндірушілердің процессорларына негізделген жүйелерге мәселе әсер етпейді, өйткені олар желі арқылы тасымалданған деректерді CPU кэшінде сақтауды қолдамайды.
Шабуыл үшін қолданылатын әдіс осалдыққа ұқсайды »«, ол RDMA жүйесі бар жүйелерде желілік пакеттерді манипуляциялау арқылы ЖЖҚ жеке биттердің мазмұнын өзгертуге мүмкіндік береді. Жаңа мәселе желілік картаның және басқа перифериялық құрылғылардың процессор кэшімен тікелей әрекеттесуін қамтамасыз ететін DDIO механизмін пайдалану кезіндегі кідірістерді азайту жұмысының салдары болып табылады (желілік карта пакеттерін өңдеу процесінде деректер кэште сақталады және жадқа қатынаусыз кэштен шығарылады).
DDIO арқасында процессор кэшіне зиянды желі әрекеті кезінде жасалған деректер де кіреді. NetCAT шабуылы желілік карталардың деректерді белсенді кэштеу фактісіне негізделген, ал қазіргі жергілікті желілерде пакеттерді өңдеу жылдамдығы кэшті толтыруға әсер ету және деректер кезінде кешіктірулерді талдау арқылы кэште деректердің бар немесе жоқтығын анықтау үшін жеткілікті. аудару.
Интерактивті сеанстарды пайдаланған кезде, мысалы, SSH арқылы, желі пакеті пернені басқаннан кейін бірден жіберіледі, яғни. пакеттер арасындағы кідіріс пернені басу арасындағы кідіріспен байланысты. Статистикалық талдау әдістерін қолдана отырып және пернелерді басу арасындағы кідіріс әдетте пернетақтадағы перненің орнына байланысты болатынын ескере отырып, енгізілген ақпаратты белгілі бір ықтималдықпен қайта құруға болады. Мысалы, адамдардың көпшілігі «a» әрпінен кейін «s» әрпін «s» әрпінен кейін «g» әрпінен әлдеқайда жылдам теруге бейім.
Процессор кэшінде сақталған ақпарат сонымен қатар SSH сияқты қосылымдарды өңдеу кезінде желілік карта арқылы жіберілген пакеттердің нақты уақытын бағалауға мүмкіндік береді. Белгілі бір трафик ағынын жасау арқылы шабуылдаушы жүйедегі белгілі бір әрекетке байланысты кэште жаңа деректер пайда болған сәтті анықтай алады. Кэштің мазмұнын талдау үшін әдіс қолданылады , ол кэшті мәндердің анықтамалық жиынтығымен толтыруды және өзгерістерді анықтау үшін қайта толтырылған кезде оларға қол жеткізу уақытын өлшеуді қамтиды.
Ұсынылған әдістеме тек пернелерді басуларды ғана емес, сонымен қатар орталық процессордың кэшінде сақталған құпия деректердің басқа түрлерін де анықтау үшін пайдаланылуы мүмкін. Шабуыл RDMA өшірілген болса да жүзеге асырылуы мүмкін, бірақ RDMA болмаса, оның тиімділігі төмендейді және орындау айтарлықтай қиындайды. Сондай-ақ DDIO-ны қауіпсіздік жүйелерін айналып өтіп, сервер бұзылғаннан кейін деректерді тасымалдау үшін пайдаланылатын жасырын байланыс арнасын ұйымдастыру үшін пайдалануға болады.
Ақпарат көзі: opennet.ru